نشر موصل بيانات Microsoft Sentinel ل SAP باستخدام SNC

  • مقالة

توضح هذه المقالة كيفية نشر موصل بيانات Microsoft Sentinel ل SAP لاستيعاب سجلات SAP NetWeaver وSAP ABAP عبر اتصال آمن باستخدام اتصالات الشبكة الآمنة (SNC).

عادة ما يتصل عامل موصل بيانات SAP بخادم SAP ABAP باستخدام اتصال استدعاء وظيفة عن بعد (RFC) واسم مستخدم وكلمة مرور للمصادقة.

ومع ذلك، قد تتطلب بعض البيئات إجراء الاتصال على قناة مشفرة، وقد تتطلب بعض البيئات استخدام شهادات العميل للمصادقة. في هذه الحالات، يمكنك استخدام SNC من SAP لتوصيل موصل البيانات بشكل آمن. أكمل الخطوات كما هو موضح في هذه المقالة.

المتطلبات الأساسية

لنشر موصل بيانات Microsoft Sentinel ل SAP باستخدام SNC، تحتاج إلى:

  • مكتبة تشفير SAP.
  • الاتصال بالشبكة. يستخدم SNC المنفذ 48xx (حيث xx هو رقم مثيل SAP) للاتصال بخادم ABAP.
  • تم تكوين خادم SAP لدعم مصادقة SNC.
  • شهادة موقعة ذاتيا أو شهادة المرجع المصدق للمؤسسة (CA) لمصادقة المستخدم.

إشعار

توضح هذه المقالة نموذج حالة لتكوين SNC. في بيئة الإنتاج، نوصي بشدة بالتشاور مع مسؤولي SAP لإنشاء خطة توزيع.

تصدير شهادة الخادم

للبدء، قم بتصدير شهادة الخادم:

  1. سجل الدخول إلى عميل SAP الخاص بك وقم بتشغيل معاملة STRUST.

  2. في الجزء الأيمن، انتقل إلى SNC SAPCryptolib وقم بتوسيع القسم.

  3. حدد النظام، ثم حدد قيمة الموضوع.

    يتم عرض معلومات شهادة الخادم في قسم الشهادة.

  4. حدد تصدير الشهادة.

    Screenshot that shows how to export a server certificate.

  5. في مربع الحوار تصدير الشهادة:

    1. لتنسيق الملف، حدد Base64.

    2. بجوار مسار الملف، حدد أيقونة المربعات المزدوجة.

    3. حدد اسم ملف لتصدير الشهادة إليه.

    4. حدد علامة الاختيار الخضراء لتصدير الشهادة.

استيراد الشهادة

يشرح هذا القسم كيفية استيراد شهادة بحيث تكون موثوقة من قبل خادم ABAP الخاص بك. من المهم فهم الشهادة التي يجب استيرادها إلى نظام SAP. يجب استيراد المفاتيح العامة للشهادات فقط إلى نظام SAP.

  • إذا كانت شهادة المستخدم موقعة ذاتياً: استيراد شهادة مستخدم.

  • إذا تم إصدار شهادة المستخدم من قبل مرجع مصدق لمؤسسة: استيراد شهادة CA للمؤسسة. إذا تم استخدام كل من خوادم المرجع المصدق الجذر والتابع، قم باستيراد كل من الجذر وشهادات CA العامة التابعة.

لاستيراد الشهادة:

  1. قم بتشغيل معاملة STRUST.

  2. حدد Display<->Change.

  3. حدد استيراد الشهادة.

  4. في مربع الحوار استيراد شهادة :

    1. بجوار مسار الملف، حدد أيقونة المربعات المزدوجة وانتقل إلى الشهادة.

    2. انتقل إلى الملف الذي يحتوي على الشهادة (لمفتاح عام فقط) وحدد علامة الاختيار الخضراء لاستيراد الشهادة.

      يتم عرض معلومات الشهادة في قسم الشهادة.

    3. حدد إضافة إلى قائمة الشهادات.

      تظهر الشهادة في قسم قائمة الشهادات.

إقران الشهادة بحساب مستخدم

لإقران الشهادة بحساب مستخدم:

  1. قم بتشغيل معاملة SM30.

  2. في الجدول/العرض، أدخل USRACLEXT، ثم حدد صيانة.

  3. راجع الإخراج وحدد ما إذا كان المستخدم المستهدف لديه بالفعل اسم SNC مقترن. إذا لم يكن هناك اسم SNC مقترن بالمستخدم، فحدد إدخالات جديدة.

    Screenshot that shows how to create a new entry in the USERACLEXT table.

  4. بالنسبة للمستخدم، أدخل اسم المستخدم. بالنسبة إلى اسم SNC، أدخل اسم موضوع شهادة المستخدم مسبوقا ب p:، ثم حدد حفظ.

    Screenshot that shows how to create a new user in USERACLEXT table.

منح حقوق تسجيل الدخول باستخدام الشهادة

لمنح حقوق تسجيل الدخول:

  1. قم بتشغيل معاملة SM30.

  2. في الجدول/العرض، أدخل VSNCSYSACL، ثم حدد صيانة.

  3. في المطالبة الإعلامية التي تظهر، تأكد من أن الجدول عبر العميل.

  4. في تحديد منطقة العمل: إدخال، أدخل E لنوع إدخال ACL، ثم حدد علامة الاختيار الخضراء.

  5. راجع الإخراج وحدد ما إذا كان المستخدم المستهدف لديه بالفعل اسم SNC مقترن. إذا لم يكن لدى المستخدم اسم SNC مقترن، فحدد إدخالات جديدة.

    Screenshot that shows how to create a new entry in the VSNCSYSACL table.

  6. أدخل معرف النظام واسم موضوع شهادة المستخدم ببادئة p:.

    Screenshot that shows how to create a new user in the VSNCSYSACL table.

  7. تأكد من تحديد خانات الاختيار الخاصة ب Entry for RFC activated و Entry for certificate activated ، ثم حدد Save.

تعيين مستخدمي موفر خدمة ABAP إلى معرفات المستخدمين الخارجيين

لتعيين مستخدمي موفر خدمة ABAP إلى معرفات المستخدمين الخارجيين:

  1. قم بتشغيل معاملة SM30.

  2. في الجدول/العرض، أدخل VUSREXTID، ثم حدد صيانة.

  3. في تحديد منطقة العمل: إدخال، حدد نوع معرف DN لمنطقة العمل.

  4. أدخل القيم التالية:

    • بالنسبة إلى المعرف الخارجي، أدخل CN=Sentinel، C=US.
    • بالنسبة إلى Seq. لا، أدخل 000.
    • بالنسبة للمستخدم، أدخل SENTINEL.

  5. حدد حفظ، ثم حدد إدخال.

    Screenshot that shows how to set up the SAP VUSREXTID table.

إعداد الحاوية

إشعار

إذا قمت بإعداد حاوية عامل موصل بيانات SAP باستخدام واجهة المستخدم، فلا تكمل الخطوات الموضحة في هذا القسم. بدلا من ذلك، تابع إعداد الموصل على صفحة الموصل.

لإعداد الحاوية:

  1. نقل ملفات libsapcrypto.so وsapgenpse إلى النظام حيث سيتم إنشاء الحاوية.

  2. نقل شهادة العميل (المفاتيح الخاصة والعامة) إلى النظام حيث سيتم إنشاء الحاوية.

    يمكن أن تكون شهادة العميل والمفتاح بتنسيق .p12 أو .pfx أو Base64 .crt .key.

  3. نقل شهادة الخادم (المفتاح العام فقط) إلى النظام الذي سيتم إنشاء الحاوية فيه.

    يجب أن تكون شهادة الخادم بتنسيق Base64 .crt .

  4. إذا تم إصدار شهادة العميل من قبل مرجع مصدق مؤسسة، فنقل شهادات المرجع المصدق والجذر المصدر إلى النظام حيث سيتم إنشاء الحاوية.

  5. احصل على البرنامج النصي لبدء التشغيل من مستودع Microsoft Sentinel GitHub:

    wget https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/SAP/sapcon-sentinel-kickstart.sh

  6. تغيير أذونات البرنامج النصي لجعله قابلا للتنفيذ:

    chmod +x ./sapcon-sentinel-kickstart.sh

  7. قم بتشغيل البرنامج النصي وحدد المعلمات الأساسية التالية:

    ./sapcon-sentinel-kickstart.sh \
--use-snc \
--cryptolib <path to sapcryptolib.so> \
--sapgenpse <path to sapgenpse> \
--server-cert <path to server certificate public key> \

    إذا كانت شهادة العميل بتنسيق .crt أو .key ، فاستخدم مفاتيح التبديل التالية:

    --client-cert <path to client certificate public key> \
--client-key <path to client certificate private key> \

    إذا كانت شهادة العميل بتنسيق .pfx أو .p12 ، فاستخدم مفاتيح التبديل هذه:

    --client-pfx <pfx filename>
--client-pfx-passwd <password>

    إذا تم إصدار شهادة العميل من قبل مرجع مصدق لمؤسسة، فأضف رمز التبديل هذا لكل مرجع مصدق في سلسلة الثقة:

    --cacert <path to ca certificate>

    على سبيل المثال:

    ./sapcon-sentinel-kickstart.sh \
--use-snc \
--cryptolib /home/azureuser/libsapcrypto.so \
--sapgenpse /home/azureuser/sapgenpse \
--client-cert /home/azureuser/client.crt \
--client-key /home/azureuser/client.key \
--cacert /home/azureuser/issuingca.crt
--cacert /home/azureuser/rootca.crt
--server-cert /home/azureuser/server.crt \

لمزيد من المعلومات حول الخيارات المتوفرة في البرنامج النصي لبدء التشغيل، راجع المرجع: البرنامج النصي لبدء التشغيل.

استكشاف الأخطاء وإصلاحها والمرجع

للحصول على معلومات حول استكشاف الأخطاء وإصلاحها، راجع هذه المقالات:

للرجوع إليها، راجع هذه المقالات:

المحتوى ذو الصلة